No Rate Limits Leads to Account Takeover at pse.kominfo.go.id

Description

Target kali ini https://pse.kominfo.go.id/, ketika pengguna melakukan reset password, kode OTP 5 digit dikirim ke email kita. Pengguna diarahkan ke halaman baru untuk memasukkan kode OTP, ketika di submit request POST dikirim ke endpoint /api/v1/jsonapi/lupa-password dengan beberapa parameter pada badan. Setelah saya coba brute force, endpoint ini ternyata belum menerapkan rate limit, yang artinya penyerang bisa mengambilalih akun korban jika penyerang memiliki email dia yang terdaftar.

Impact

Bug ini memungkinkan penyerang bisa mengambilalih akun pengguna lain jika dia memiliki emailnya yang terdaftar.

Reproduction Steps

Ibaratkan saja penyerang telah memiliki email pengguna yang terdaftar seperti victim@gmail.com

1. Minta link reset password di https://pse.kominfo.go.id/perbaharuikatasandi
2. Masukkan email pengguna > klik “kirimkan kode ke email” > kode OTP 5 digit dikirim ke email > otomatis diarahkan ke halaman baru > masukkan kode OTP random seperti 00000 > masukkan password baru > klik “submit” dengan mengintercept request dengan tool burpsuite.
3. Request POST akan dikirim ke endpoint /api/v1/jsonapi/lupa-password dengan beberapa parameter pada badan seperti {"data":{"type":"lupaPassword","attributes":"{"email":"victim@gmail.com","password":"test123","kode":"00000"}}}
4. Kirim ke “Intruder” > di header request kamu akan melihat Accept-Language: en-US,en;q=0.5 > klik “Add §§” di value pada parameter q seperti “§0.5§” > ubah tipe payload ke Brute forcer > Character set 0123456789 > Min/Max length 5 > Start attack.
5. Jika direspons menampilkan 200 OK artinya kode OTP berhasil ditemukan > copy dan paste di browser > sukses mentakeover akun dia.

Timeline

25 Februari 2024 : Kirim laporan

26 Februari 2024 : Staf CSIRT Kominfo ubah laporan ke Duplikat

Halo Rohmad Hidayah,

Kami mengucapkan terima kasih atas kerjasama Anda dalam melaporkan kerentanan yang ditemukan pada sistem kami. Kami sangat menghargai kontribusi Anda untuk menjaga keamanan dan integritas layanan kami.

Kami telah menerima laporan anda dan setelah kami cek, laporan tersebut sudah pernah dilaporkan oleh bug hunter lain dan saat ini masih dalam proses perbaikan dari pihak developer

26 Februari 2024 : Iseng tanya kek gini wkwk

Jadi jika bugnya sudah diperbaiki, apakah laporan yang duplikat akan mendapatkan sertifikat apresiasi juga pak?

29 Februari 2024 : Staf CSIRT Kominfo

Halo maaf baru bisa membalas, untuk kerentanan yang sudah ditemukan orang lain kami tidak bisa memberikan sertifikat kepada penemu berikutnya, terimakasih.